Показано с 1 по 16 из 16.

Не новый BackDoor.IRC.Evil ... (заявка № 10870)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39

    Thumbs up Не новый BackDoor.IRC.Evil ...

    Добрый день! Зажил такой вирус на компе. Последую схеме, описанной в теме от 07.05.2007г. Антивирус DRWEB. Живет около трех недель

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Прошу извинения. Прошел вчера DrWeb в безопасном режиме. Обнаружено 48 записей. Попытка перемещения в карантин привела почему-то к удалению почти всего. Зачем? Очень испугало кол-во записей. Теперь Виндоуз при загрузке в нормальном режиме все время перегружается. Файл ntndis в drivers DrWeb похоже удалил. Что можно сделать? Заранее спасибо

    Добавлено через 14 минут
    P.S. отправить все как нужно по правилам без норм. режима Виндоуз, уже не получается.
    Последний раз редактировалось Nikos; 08.07.2007 в 12:58. Причина: Добавлено сообщение

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    выполните правила из безопасного режима + дополнительный лог как сказано тут
    http://virusinfo.info/showthread.php?t=10387

  5. #4
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Добрый ближе к вечеру. Получились вот такие результаты. На диске Д тоже операционка стоит. Диск Д правда не включил, терпение подкачало.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     DeleteFile('c:\windows\system32\mssrv32.exe');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    "Пофиксите" в HijackThis
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
    O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
    O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    Пришлите файлы карантина по правилам раздела "Помогите". Попробуйте сделать логи в нормальном режиме.

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Спасибо огромное!!! Выкладываю логи, полученные в нормальном режиме. Что-то есть по мелочи.
    Немного волнуют три иконки программ на корню в С: load-black, new & zupachaPack. AVZ & DrWeb ничего похого в них не видят, появились недавно. А в констектном меню при работе с файлами осталось "Открыть Штирлицем".
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от Nikos Посмотреть сообщение
    Немного волнуют три иконки программ на корню в С: load-black, new & zupachaPack.
    Заархивируйте их с паролем virus и пришлите через эту ссылку. Проследите, чтобы попали *.exe файлы (по идеи они должны быть).

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Больше ни чего подозрительного в логах нет.

    mssrv32.exe - Trojan-Downloader.Win32.Agent.aii (по Kaspersky).

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Это наверное уже сообщение завтрашнего дня. Архивы virusy & virus2 закачаны. Итак план на сегодня перевыполнен

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    new.exe_ - Packed.Win32.PolyCrypt.b,
    zupachaPack.exe_ - Email-Worm.Win32.Zhelatin.ch (по Касперскому )
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFile('c:\load-black.exe_');
     DeleteFile('c:\new.exe_');
     DeleteFile('c:\zupachaPack.exe_');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от Muzzle Посмотреть сообщение
    повторите логи
    Muzzle, в логах их не видно... Подозреваю что это ещё не всё...

  12. #11
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Добрый вечер! Вчера не удалось получить доступ к компюютеру в полном объеме,
    нагоняю сегодня . Три приложения из архива virusy скрипт не убил. При сборе информации в syscheck сканировалось только 333 объекта.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Попробовал еще раз скрипт прогнать, перегрузился - три брата (сестры) на С невредимы. Хоть бы что ...

    Живучие.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    давайте так попробуем
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFile('c:\load-black.exe');
     DeleteFile('c:\new.exe');
     DeleteFile('c:\zupachaPack.exe');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и пофиксите в hijackthis
    Код:
    O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.2.cab

  15. #14
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    8
    Вес репутации
    39
    Все!!! С тремя прогами на корню покончено

    Пофиксил
    O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC ...

    На всякий случай прикрепляю лог из Хайджеквиз. Спасибо!!!
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Алелуя
    начните отключать не нужные сервисы : удалённый рабочий стол, нетмитинг...
    Чтобы уменьшить шанс заражения советуем на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Agent.aii (DrWEB: Trojan.MulDrop.8347)
      2. \\new.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)
      3. \\zupachapack.exe - Email-Worm.Win32.Zhelatin.ch (DrWEB: Trojan.Spambot)


  • Уважаемый(ая) Nikos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.IRC.Evil
      От Pechalny007 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 01:45
    2. The big bad Boaxxe and its evil ways
      От Fast Panda в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 22.07.2008, 09:20
    3. новый? Backdoor.Win32.Rbot
      От aravind в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 30.05.2006, 18:31
    4. Новый тип Backdoor - вероятно Backdoor.Delf.??
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 10.02.2005, 15:14
    5. Новый тип Backdoor.Agent
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 9
      Последнее сообщение: 07.12.2004, 12:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00560 seconds with 17 queries